Rekomendasi Microsoft Entra: Memperbarui kredensial aplikasi yang kedaluwarsa (pratinjau)

Rekomendasi Microsoft Entra adalah fitur yang memberi Anda wawasan yang dipersonalisasi dan panduan yang dapat ditindaklanjuti untuk menyelaraskan penyewa Anda dengan praktik terbaik yang direkomendasikan.

Artikel ini membahas rekomendasi untuk memperbarui kredensial aplikasi yang kedaluwarsa. Rekomendasi ini dipanggil applicationCredentialExpiry dalam API rekomendasi di Microsoft Graph.

Prasyarat

Ada persyaratan peran yang berbeda untuk melihat atau memperbarui rekomendasi. Gunakan peran yang paling tidak istimewa untuk jenis akses yang diperlukan. Untuk daftar lengkap peran, lihat Peran dengan hak istimewa terkecil menurut tugas.

Peran Microsoft Entra	Jenis akses
Pembaca Laporan	Baca-saja
Pembaca Keamanan	Baca-saja
Pembaca Global	Baca-saja
Admin Kebijakan Autentikasi	Memperbarui dan membaca
Administrator Exchange	Memperbarui dan membaca
Administrator Keamanan	Memperbarui dan membaca
DirectoryRecommendations.Read.All	Baca-saja di Microsoft Graph
DirectoryRecommendations.ReadWrite.All	Memperbarui dan membaca di Microsoft Graph

Beberapa rekomendasi mungkin memerlukan P2 atau lisensi lainnya. Untuk informasi selengkapnya, lihat Ketersediaan rekomendasi dan persyaratan lisensi.

Deskripsi

Kredensial aplikasi dapat mencakup sertifikat dan jenis rahasia lain yang perlu didaftarkan dengan aplikasi tersebut. Kredensial ini digunakan untuk membuktikan identitas aplikasi.

Rekomendasi ini muncul jika penyewa Anda memiliki kredensial aplikasi yang akan segera kedaluwarsa.

Kredensial aplikasi kedaluwarsa jika:

• Ini pada pendaftaran aplikasi DAN kedaluwarsa dalam 30 hari ke depan.

Kredensial berikut dikecualikan dari rekomendasi ini:

• Kredensial yang diidentifikasi sebagai kedaluwarsa tetapi sejak itu telah dihapus dari pendaftaran aplikasi
• Kredensial yang tanggal kedaluwarsanya telah dilaporkan ditampilkan sebagai selesai dalam daftar sumber daya yang Terpengaruh.

Nilai

Memperbarui kredensial aplikasi sebelum tanggal kedaluwarsa sangat penting untuk mempertahankan operasi yang tidak terganggu dan meminimalkan risiko waktu henti yang dihasilkan dari kredensial yang kedaluwarsa.

Rencana aksi

Rekomendasi ini tersedia di pusat admin Microsoft Entra dan menggunakan Microsoft Graph API.

Pusat admin Microsoft Entra

1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Keamanan.

2. Telusuri Ke Gambaran Umum Identitas>.

3. Pilih tab Rekomendasi dan pilih rekomendasi Perbarui kredensial aplikasi yang kedaluwarsa.

4. Perhatikan detail berikut dari tabel Sumber daya yang terkena dampak.

   • Kolom Sumber Daya menampilkan nama aplikasi

   • Kolom ID menampilkan ID aplikasi

     

5. Pilih Detail Selengkapnya dari kolom Tindakan .

6. Dari panel yang terbuka, pilih Perbarui Kredensial untuk menavigasi langsung ke area Sertifikat & rahasia pendaftaran aplikasi untuk memperbarui kredensial yang kedaluwarsa.

   1. Atau, telusuri ke Aplikasi> Identitas>Pendaftaran aplikasi dan temukan aplikasi tempat kredensial perlu diputar.

   

   1. Navigasikan ke bagian Sertifikat & Rahasia dari pendaftaran aplikasi.

7. Pilih jenis kredensial yang ingin Anda putar dan navigasikan ke tab Sertifikat atau Rahasia Klien dan ikuti perintahnya.

   

8. Setelah sertifikat atau rahasia berhasil ditambahkan, perbarui kode layanan untuk memastikannya berfungsi dengan kredensial baru dan tidak berdampak negatif pada pelanggan.

9. Gunakan log masuk Microsoft Entra untuk memvalidasi bahwa ID Kunci kredensial cocok dengan yang baru saja ditambahkan.

10. Setelah memvalidasi kredensial baru, navigasikan kembali ke Pendaftaran aplikasi> Certificates dan Rahasia untuk aplikasi dan hapus kredensial lama.

API Microsoft Graph

Permintaan berikut dapat digunakan untuk mengambil rekomendasi dan sumber daya yang terkena dampak menggunakan Microsoft Graph API. Untuk menggunakan Microsoft Graph API, Anda memerlukan DirectoryRecommendations.Read.All izin dan DirectoryRecommendations.ReadWrite.All . Untuk informasi selengkapnya, lihat Cara menggunakan Rekomendasi Identitas.

1. Masuk ke Graph Explorer.
2. Pilih GET sebagai metode HTTP dari menu dropdown.

Untuk mengambil semua rekomendasi untuk penyewa Anda:

GET https://graph.microsoft.com/beta/directory/recommendations

Dari respons, temukan ID rekomendasi yang cocok dengan pola berikut: {tenantId}_Microsoft.Identity.IAM.Insights.ApplicationCredentialExpiry.

Untuk mengidentifikasi sumber daya yang terkena dampak:

GET https://graph.microsoft.com/beta/directory/recommendations/{tenantId}_Microsoft.Identity.IAM.Insights.ApplicationCredentialExpiry

Untuk memfilter sumber daya berdasarkan statusnya (misalnya, sumber daya aktif ):

GET https://graph.microsoft.com/beta/directory/recommendations/536279f6-15cc-45f2-be2d-61e352b51eef_Microsoft.Identity.IAM.Insights. ApplicationCredentialExpiry’/impactedResources?$filter=status eq Microsoft.Graph.recommendationStatus'active'

Catat AppId, , CredentialIddan Origin kredensial yang ingin Anda hapus. Untuk menghapus kredensial, gunakan panduan Microsoft Graph berikut ini:

• addPassword
• addKey
• removePassword
• removeKey

Respon sampel

 {
  "id": "536279f6-15cc-45f2-be2d-61e352b51eef_Microsoft.Identity.IAM.Insights.ApplicationCredentialExpiry",
  "recommendationType": "applicationCredentialExpiry",
  "createdDateTime": "2022-06-08T00:08:01Z",
  "impactStartDateTime": "2022-06-08T00:08:01Z",
  "postponeUntilDateTime": null,
  "lastModifiedDateTime": "2024-07-29T12:03:16Z",
  "lastModifiedBy": "System",
  "displayName": "Renew expiring application credentials",
  "featureAreas": [
    "applications"
  ],
  "insights": "Your tenant has applications with credentials that will expire soon.",
  "benefits": "Renewing the app credential(s) before its expiration ensures the application continues to function and reduces the possibility of downtime due to an expired credential.",
  "category": "identityBestPractice",
  "status": "active",
  "priority": "high",
  "requiredLicenses": "microsoftEntraWorkloadId",
  "impactType": "apps",
  "actionSteps": [
    {
      "stepNumber": 1,
      "text": "1. Navigate to the App registration section and locate the application for which the credential needs to be rotated."
    },
    {
      "stepNumber": 2,
      "text": "2. Navigate to the “Certificates & Secrets” blade of the app registration."
    },
    {
      "stepNumber": 3,
      "text": "3. Pick the credential type that you want to rotate and navigate to either “Certificates” or “Client Secret” tab and follow the prompts.",
      "actionUrl": null
    },
    {
      "stepNumber": 4,
      "text": "4. Once the certificate or secret is successfully added, update the service code to ensure it works with the new credential and has no negative customer impact. You should use Microsoft Entra ID’s sign-in logs to validate that the thumbprint of the certificate matches the one that was just uploaded.",
      "actionUrl": null
    },
    {
      "stepNumber": 5,
      "text": "5. After validating the new credential, navigate back to the Certificates and Secrets blade for the app and remove the old credential.",
      "actionUrl": null
    }
  ]
}

Konten terkait

• Tinjau gambaran umum rekomendasi Microsoft Entra
• Pelajari cara menggunakan rekomendasi Microsoft Entra
• Menjelajahi properti Microsoft Graph API untuk rekomendasi
• Pelajari tentang objek perwakilan aplikasi dan layanan di ID Microsoft Entra